Een recente WordPress-beveiligingsupdate die verschillende beveiligingsoplossingen bevat, zorgt er ook voor dat sommige sites niet meer werken, waardoor een ontwikkelaar uitroept: “Dit is chaos!!”

De update verwijderde een sleutelfunctionaliteit waardoor talloze plug-ins niet meer werkten op de site die het WordPress-blogsysteem gebruiken.

De getroffen plug-ins varieerden van formulieren tot schuifregelaars tot broodkruimels.

WordPress 6.2.1-update

Sites die automatische updates op de achtergrond ondersteunen, ontvingen automatisch de WordPress 6.2.1-update omdat het een beveiligingsrelease was (officieel was het een onderhouds- en beveiligingsrelease).

Volgens de officiële release-aankondiging van WordPress bevatte de update vijf beveiligingsoplossingen:

“Blokkeer thema’s door shortcodes te parseren in door gebruikers gegenereerde gegevens; … Een CSRF-probleem bij het bijwerken van bijlagenminiaturen; gerapporteerd door John Blackbourn van het WordPress-beveiligingsteam. Een fout die XSS door middel van automatische detectie van open inbedding mogelijk maakt, onafhankelijk gemeld en gedurende een derde beveiligingsaudit door een derde partij door Jakub Żoczek van Securitum Het omzeilen van KSES-opschoning in blokattributen voor gebruikers met weinig rechten, ontdekt tijdens een externe beveiligingsaudit Een probleem met het doorkruisen van paden met behulp van vertaalbestanden; onafhankelijk gerapporteerd door Ramuel Gall en tijdens een beveiligingsaudit van derden audit.”

Het probleem komt voort uit de eerste beveiligingsoplossing, die van invloed is op shortcodes in blogthema’s, die de problemen veroorzaakt.

Een shortcode is een enkele regel code die fungeert als tijdelijke aanduiding of tijdelijke aanduiding voor code die functionaliteit biedt zoals een contactformulier.

Dus in plaats van een contactformulier in te stellen op elke pagina waar het formulier verschijnt, plaatst u gewoon een enkele regel, een shortcode genaamd, die vervolgens een contactformulier insluit.

Helaas werd ontdekt dat hackers shortcodes konden uitvoeren binnen door gebruikers gegenereerde inhoud (zoals blogcommentaar), wat zou kunnen leiden tot misbruik.

WordFence beschrijft de kwetsbaarheid:

“WordPress Core verwerkt shortcodes in door gebruikers gegenereerde inhoud op blogthema’s in versies tot en met 6.2.

Dit zou niet-geverifieerde aanvallers in staat kunnen stellen shortcodes uit te voeren door opmerkingen of andere inhoud in te dienen, waardoor ze kwetsbaarheden kunnen misbruiken waarvoor normaal gesproken machtigingen op abonnee- of bijdragersniveau nodig zijn.”

WordFence legt verder uit dat de kwetsbaarheid als een fout is die een andere, ernstiger kwetsbaarheid kan veroorzaken.

De oplossing voor de shortcode-kwetsbaarheid was het volledig verwijderen van de shortcode-functionaliteit van WordPress-blogsjablonen.

De officiële documentatie voor de kwetsbaarheidsoplossing legde uit:

“Verwijder shortcode-ondersteuning van blogsjablonen.”

Iemand heeft een oplossing bedacht om ondersteuning voor shortcodes in WordPress-blogsjablonen te herstellen.

Maar de tijdelijke oplossing herstelde ook de kwetsbaarheid:

“Voor degenen die op 6.2.1 willen blijven en de ondersteuning voor shortcodes in sjablonen moeten herstellen, kun je deze tijdelijke oplossing proberen.

… Maar houd er rekening mee dat de ondersteuning is verwijderd om een ​​beveiligingsprobleem aan te pakken en om de ondersteuning voor shortcodes te herstellen, herstelt u waarschijnlijk het beveiligingsprobleem.”

Het uitschakelen van ondersteuning voor shortcodes zorgde ervoor dat sommige sites niet meer werkten en helemaal niet meer werkten.

Dus het toevoegen van de tijdelijke oplossing totdat een meer permanente oplossing was gevonden, was voor veel gebruikers logisch.

WordPress-ontwikkelaars roepen op om ‘krankzinnig’ en ‘dom’ te repareren

WordPress-ontwikkelaars meldden hun frustratie over de WordPress-update:

Een persoon schreef:

“… Ik vind het absoluut gek dat shortcodes door ontwerp zijn verwijderd!! Alle FSE-sites in ons bureau gebruiken het shortcode-blok in sjablonen voor alles: filters, zoeken, ACF en integratieplug-ins. Dit is een chaos!!

De oplossing lijkt bij mij niet te werken. Ik ga terug naar een eerdere versie en hoop dat er een oplossing is.”

Iemand anders postte:

“Ja, ik begrijp de Gutenberg-haat niet, maar ze hadden op zijn minst een aantal blogs zoals Shortcode moeten weigeren die ze uitfaseerden in de Full Site Editor.

Dat was dom van de WP-ontwikkelaars.

Mensen zullen de oude manieren gebruiken, tenzij je ze iets anders vertelt of ze naar nieuwe dingen leidt.

Maar zoals ik al zei, het zou beter zijn geweest om een ​​brug te slaan via bijvoorbeeld een officieel PHP-blog, of door echt te luisteren naar wat gebruikers en ontwikkelaars willen.”

Een opmerkelijke plug-in die werd getroffen, was Rank Math. Navigatiepadfunctionaliteit indien aanwezig in blogthema’s is mislukt na de 6.2.1-update.

Een Rank Math-ondersteuningspagina bevatte een fixverzoek van een gebruiker van de Rank Math-plug-in.

Rank Math-ondersteuning raadde aan om een ​​tijdelijke oplossing toe te voegen. Helaas herstelt deze workaround niet alleen de functionaliteit van de shortcode, maar herstelt ook de kwetsbaarheid.

De update blokkeerde ook de functionaliteit van de Smart Slider 3-plug-in.

Er is een ondersteuningsthread geopend op de Smart Slider 3-plug-inpagina:

“Het is niet jouw schuld, maar Automattic heeft besloten shortcodes uit blogsjablonen te verwijderen. …beweert een ‘beveiligingsprobleem’, maar schakelt in wezen twee plug-ins uit die ik gebruik, waaronder die van jou.”

Dit betekent dat uw plug-in alleen wordt weergegeven [smartslider3 slider=”6″] bij gebruik in een FSE-sjabloon. Maar het ziet er goed uit in de FSE-editor!

Ik dacht dat je het misschien zou willen weten, voordat de verwarde mensen die Automattic had moeten informeren jou de schuld gaan geven. Dergelijke functionaliteit moeten ze niet zomaar verwijderen, het is weer net als vroeger.

Nu moet ik ook uitzoeken hoe ik een PHP-formulier / -code kan aansluiten om categorielijsten in de zoekvakken te plaatsen. Grr.”

Het ondersteuningsteam van Smart Slider 3 raadde aan om de tijdelijke oplossing toe te voegen.

Anderen in de ondersteuningsthread van WordPress.org over het gevonden probleem hebben oplossingen gevonden. Als uw site is getroffen, kan het nuttig zijn om de discussie te lezen.

Lees de WordPress-ondersteuningspagina over het probleem met de shortcode

WordPress v6.2.1 breekt het shortcode-blok in sjablonen

Uitgelichte afbeelding door Shutterstock/ViChizh

Source link